常见病毒手动查杀

常见病毒的手工清除方法1.Acid Battery打开注册表Regedit点击目录至：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cu rrentVersion\Run删除右边的Explorer ="C:\WINDOWS\expiorer.exe"关闭Regedit重新启动到MSDOS方式删除c:\windows\expiorer.exe木马程序注意：不要删除正确的ExpLorer.exe程序，它们之间只有i与L 的差别。

重新启动。

2.Acid Shiver重新启动到MSDOS方式删除C:\windows\MSGSVR16.EXE然后回到Windows系统打开注册表Regedit点击目录至：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cu rrentVersion\Run删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cu rrentVersion\RunServices删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE"关闭Regedit重新启动。

3.Ambush打开注册表Regedit点击目录至：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cu rrentVersion\Run\删除右边的zka = "zcn32.exe"关闭Regedit重新启动到MSDOS方式删除C:\Windows\ zcn32.exe重新启动。

4.AOL Trojan启动到MSDOS方式删除C:\ command.exe（删除前取消文件的隐含属性）注意：不要删除真的文件。

手工查杀木马病毒的一般详细步骤其实，在平时一不小心中病毒或木马的时候，对于高手来说，都采用手动查杀的方式，因为一方面，对于互联网上新出现的病毒或其变种，大多数的杀毒厂商往往都是被动的，这样就给那些病毒木马提供了时间上的有利条件;另一方面，用杀毒软件查杀的话，是很浪费宝贵的时间的，你知道，高手们往往是不会去选择做傻事的，因为他们知道应该在这些傻事中学到些什么,而对于我们普通菜鸟用户来说，怎么办呢,总不能坐以待毙吧～作为高手是不能容忍的，因此，手工查杀就从中起了重要作用。

那么我们应该怎么办呢,我们应该从中学到些什么呢,首先，当我们感到机器变得比以前慢很多，或者鼠标有时会不自主的乱抖动，这时我们就应该考虑是不是病毒或木马在作怪了。

这时，我们的第一步就是打开任务管理器，仔细查看有没有哪些异常或自己尚不清楚的进程，发现后，先不要急着结束它，先用纸和笔记录下来，这时我们可以在网上查下该进程的相关资料(比如*.exe)，这时如果上网不方便的话，可以在资源管理器中按F3打开“搜索”，首先确保将系统中的所有文件全部显示出来，包括重要的系统文件，并“所有文件和文件夹”搜索，看看它到底藏在了哪里，也许有时候你会发现，这个你不熟悉的进程名正是系统中正常的一个程序的进程。

不过这也没关系，我们都是从不懂到懂得的一个过程，没什么指得可笑的。

如果从网上找到的资料里，发现这个确是病毒或木马的话，则毫无疑问的进行下一步骤。

如果是在“搜索”中找到的，则右击查看它的属性，看看它是具体什么时间被建立的，如果与实际不符而相违背的，或明显带有迷惑用户性质的话，则可以肯定它们对我们是不利的。

我们只有将它们赶尽杀绝了!!!下一步，我们就要毫不留情的在任务管理器中先结束其进程了。

右击它选择“结束进程”，“确定”即可。

如果中的病毒或木马很强的话，我们就要采取强制的方式结束它了。

具体方法:首先“开始——运行”，输入CMD，打开命令提示符。

输入“Tasklist”后就会看到我们各个程序的进程列表了，其中有一列叫PID(进程标识符)的，这对我们强制关闭某个进程时有用到。

怎么手动清除病毒许多时候呢，我们更喜欢让电脑无反病毒软件，确实很爽，装反病毒软件的时候电脑有时慢到蜗牛般比现在无反病毒软件简直就是天差地远啊，不过我们还是需要预防电脑病毒，下面就让店铺教大家怎么手动清除病毒吧。

手动清除病毒的方法当我们发现自己的电脑出现异常情况时，比如电脑出现CPU使用率很高，导致电脑卡机，桌面出现无法删除的IE图标，并且IE主页被恶意修改等等，这时如果没有反病毒软件就只能动手删除病毒了，那么删除病毒的第一步是要找出病毒的进程，在这里我们约定：该smss.exe不是真正的病毒，而是为了讲解使大家学习到这点实用知识，科技程序迷特别编写了个试验程序。

如何找病毒进程：使用任务管理器或者第三方具有进程管理功能的软件，推荐实用卡卡上网助手，原因是有时候病毒是注入其他进程的Dll(Dll是一种Windows重要的扩展程序，它通常可为其他程序提供函数接口并且可以执行，Windows任务管理器是看不到它进程的)，反复在任务管理器查找可疑进程，如果找到可疑进程，那么进入下一步，如果没有就继续查找，如果发现一个进程的CPU占用率很高，且它是正常的系统进程，查看它的文件也都没问题，那么这个进程可能是被病毒注入了Dll，如果你发现explorer.exe进程的CPU使用率异常，那你就可以使用比如卡卡上网助手的进程管理功能进行查看explorer.exe进程的所加载模块有哪些，用Windows文件搜索一个一个去查找它的文件和查看它的文件属性，如果你发现它没有数字签名，或者你发现它的文件创建日期是最近几天，呵呵，恭喜你，你的成功达到了90%了，这个注入的Dll即将被删除。

1st.查找病毒进程和查找病毒文件查看文件的属性这个例子比较轻松地知道冒充smss.exe的病毒不但文件创建日期是今天，而且文件路径是在C:\Windows的，而正常的smss.exe并不是在这个路径下!接着下一步就直接清除病毒文件了。

2nd.特殊病毒：注入型Dll病毒的查找(这里的USP.dll是举例子并不是病毒，大家千万别删除了它否则上不了网了啊)如果不明白请仔细看图，explorer.exe是先前在任务管理器发现CPU使用率异常的，但是explorer.exe这个文件时正常的explorer.exe，而且在任务管理器值只有一个explorer.exe进程，所以这个例子只能查找可能是注入它的Dll病毒了。

如何利用系统自带命令搞定手工杀毒如何利用系统自带命令搞定手工杀毒电脑病毒看不见，却无处不在，有时防护措施不够或者不当操作都会导致病毒入侵。

电脑用户最害怕的就是一些病毒，虽然我们的电脑上安装有各种的杀毒软件，但是也抵制不了病毒的恶性侵入，下面小编教你如何自己亲自动手来用系统自带的工具绞杀病毒，快来看看吧方法步骤一、自己动手前，切记有备无患——用T askList备份系统进程新型病毒都学会了用进程来隐藏自己，所以我们最好在系统正常的时候，备份一下电脑的进程列表，当然最好在刚进入Windows时不要运行任何程序的情况下备份，样以后感觉电脑异常的时候可以通过比较进程列表，找出可能是病毒的进程。

在命令提示符下输入：TaskList /fo:csv>g:zc.csv上述命令的作用是将当前进程列表以csv格式输出到“zc.csv”文件中，g:为你要保存到的盘，可以用Excel打开该文件.二、自己动手时，必须火眼金睛——用FC比较进程列表文件如果感觉电脑异常，或者知道最近有流行病毒，那么就有必要检查一下。

进入命令提示符下，输入下列命令：TaskList /fo:csv>g:yc.csv生成一个当前进程的yc.csv文件列表，然后输入：FC g:\\zccsv g:\\yc.csy回车后就可以看到前后列表文件的不同了，通过比较发现，电脑多了一个名为“Winion0n.exe”(这里以这个进程为例)不是“Winionon.exe”的异常进程。

三、进行判断时，切记证据确凿——用Netstat查看开放端口对这样的可疑进程，如何判断它是否是病毒呢?根据大部分病毒(特别是木马)会通过端口进行对外连接来传播病毒，可以查看一下端口占有情况。

在命令提示符下输入：Netstat -a-n-o参数含义如下：a:显示所有与该主机建立连接的端口信息n:显示打开端口进程PID代码o：以数字格式显示地址和端口信息回车后就可以看到所有开放端口和外部连接进程，这里一个PID 为1756(以此为例)的进程最为可疑，它的状态是“ESTABLISHED”，通过任务管理器可以知道这个进程就是“Winion0n.exe”，通过查看本机运行网络程序，可以判断这是一个非法连接!连接参数含义如下：LISTENINC：表示处于侦听状态，就是说该端口是开放的，等待连接，但还没有被连接，只有TCP协议的服务端口才能处于LISTENINC状态。

一·手工查杀病毒木马你的电脑安全吗？你的电脑可以防黑吗？在平时一不小心中病毒或木马的时候，对于高手来说，都采用手动查杀的方式，因为一方面，对于互联网上新出现的病毒或其变种，大多数的杀毒厂商往往都是被动的，这样就给那些病毒木马提供了时间上的有利条件；另一方面，用杀毒软件查杀的话，是很浪费宝贵的时间的。

现在的杀毒软件那么多啊，为什么我们还要学习用手动来杀毒呢？你想想病毒的产生肯定是比你的杀毒软件的升级快很多的，既然是那个样子的话，我们学习手动杀毒就对我们很有帮助，也可以让我们更加熟悉计算机的进程以及对我们将来学习更多的计算机技术打下很好的基础。

首先，对于自己的计算机要有洞悉力，说得通俗点就是如果发现什么不对的就要考虑下是什么原因了。

因为是讲手工杀毒那就先讲中毒的几个特别征兆，例如：你的电脑在上网的时候自己会打开不知名的网站（恶意代码也是会这样的啊，我们也把它暂时当病毒吧）；你的电脑的速度变得很慢很慢，特别是开机的时候要很久；你的电脑文件有的开不了；有时候点一个陌生的文件突然一闪而过；有时候总跳出非法操作……可以说你觉得很可疑的时候，都可能是中了病毒。

那么我们就要找到病毒。

这时我们的第一步就是打开任务管理器，仔细查看有没有哪些异常或自己尚不清楚的进程，发现后，先不要急着结束它，先用纸和笔记录下来，这时我们可以在网上查下该进程的相关资料(比如*.exe)，这时如果上网不方便的话，可以在资源管理器中按F3打开“搜索”，首先确保将系统中的所有文件全部显示出来，包括重要的系统文件，并在“所有文件和文件夹”搜索，看看它到底藏在了哪里，也许有时候你会发现，这个你不熟悉的进程名正是系统中正常的一个程序的进程。

如果从网上找到的资料里，发现这个确是病毒或木马的话，则毫无疑问的进行下一步骤。

如果是在“搜索”中找到的，则右击查看它的属性，看看它是具体什么时间被建立的，如果与实际不符而相违背的，或明显带有迷惑用户性质的话，则可以肯定它们对我们是不利的。

如何手动查杀电脑病毒我的电脑中了许多病毒!想要手动查杀下病毒!用什么方法最好呢?下面由店铺给你做出详细的手动查杀电脑病毒方法介绍!希望对你有帮助!手动查杀电脑病毒方法一：要想手动杀毒,首先你得晓得病毒所在的位置,当你能确认那个文件就是你所说的病毒,那么就可以将它点右键删除(DELETE)或是(SHIFT+DELETE),假若无法将其删除就点右键看看它的属性,若在存档那前面已经被打上了勾的话,就把勾给去掉,然后再重复开始的那个动作... ...假若仍然无法将其删除就重起计算机按F8键进入安全模式下将其删除对它仍然无效的话还可以进入DOS下输入命令将其删除以上的办法都没能将它删除的话,就只有在运行里输入"REGEDIT"进入注册表里修改那文件的键值后将其删除手动查杀电脑病毒方法二：自己手动查杀病毒和木马时下，病毒、木马可谓越来越多，而且经常造访我们的“爱机”，给工作带到来极大的不便!如此之多的病毒、木马，若要都用杀毒软件来杀的话，并非确保全盘杀掉，况且有的病毒出现快杀毒软件还未来得及更新病毒库就已侵袭了我们的电脑，在这种情况下，如何是好呢?是否一筹莫展呢?非也，您不妨按照如下步骤自已动手进行删除。

1、检查注册表中RUN、RUNSERVEICE等几项，先备份，记下可以启动项的地址，再将可疑的删除。

2、删除上述可疑键在硬盘中的执行文件。

3、一般这种文件都在WINNT，SYSTEM，SYSTEM32这样的文件夹下，他们一般不会单独存在，很可能是有某个母文件复制过来的，检查C、D、E等盘下有没有可疑的.exe，.com或.bat文件，有则删除之。

4、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\InternetExplorer\Main中的几项(如Local Page)，如果被修改了，改回来就可以。

5、检查HKEY_CLASSES_ROOT\inifile\shell\open\command 和 HKEY_CLASSES_ROOT\txtfile\shell\open\command等等几个常用文件类型的默认打开程序是否被更改。

手工排查病毒木马小弟总结的手工排查的方法，方法如下：很多时候大家已经用杀毒软件查出了自己的机子中了例如Backdoor. RmtBomb.12 、Trojan.Win32.SendIP.15 等等这些一串英文还带数字的病毒名，这时有些人就懵了，那么长一串的名字，我怎么知道是什么病毒啊？其实只要我们掌握一些病毒的命名规则，我们就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些公有的特性了。

世界上那么多的病毒，反病毒公司为了方便管理，他们会按照病毒的特性，将病毒进行分类命名。

虽然每个反病毒公司的命名规则都不太一样，但大体都是采用一个统一的命名方法来命名的。

一般格式为：<病毒前缀>.<病毒名>.<病毒后缀> 。

病毒前缀是指一个病毒的种类，他是用来区别病毒的种族分类的。

不同的种类的病毒，其前缀也是不同的。

比如我们常见的木马病毒的前缀 Trojan ，蠕虫病毒的前缀是 Worm 等等还有其他的。

病毒名是指一个病毒的家族特征，是用来区别和标识病毒家族的，如以前著名的CIH病毒的家族名都是统一的“ CIH ”，还有近期闹得正欢的振荡波蠕虫病毒的家族名是“ Sasser ”。

病毒后缀是指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。

一般都采用英文中的26个字母来表示，如Worm.Sasser.b就是指振荡波蠕虫病毒的变种B，因此一般称为“振荡波B变种”或者“振荡波变种B”。

如果该病毒变种非常多（也表明该病毒生命力顽强^_^），可以采用数字与字母混合表示变种标识。

综上所述，一个病毒的前缀对我们快速的判断该病毒属于哪种类型的病毒是有非常大的帮助的。

通过判断病毒的类型，就可以对这个病毒有个大概的评估（当然这需要积累一些常见病毒类型的相关知识，这不在本文讨论范围）。

而通过病毒名我们可以利用查找资料等方式进一步了解该病毒的详细特征。

病毒后缀能让我们知道现在在你机子里呆着的病毒是哪个变种。

手工删除“MSN照片”病毒-电脑资料病毒名称：MSN照片(Worm.IRC.MyPhoto.a)病毒类型：蠕虫病毒病毒危害级别：★★★☆病毒发作现象及危害：该病毒会通过MSN发送内容为“HEY lol i've done a new photo album !:) Second ill find file and send you it.”、“Hey wanna see my new photo album?”等内容的消息，同时附带一个名为photo album.zip的压缩文件，。

用户运行该压缩文件中的程序即会被病毒感染。

病毒还会在用户电脑里释放一个后门程序，可以利用IRC软件远程控制中毒电脑，窃取个人资料，从而使用户面临极大的安全威胁。

手工删除：一、删除病毒的注册表启动项目1、运行regedit，打开注册表编辑器。

打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\ShellServiceObjectDelayLoad找到“rdshost”一项，将其值记录下来，并将该项删除。

注意：“rdshost”项的值为一个CLSID。

病毒产生的这段CLSID 不固定，本例中为：{68949825}。

2、打开HKEY_CLASSES_ROOT\CLSID，找到刚才记录下的CLSID项，本例为：{68949825}，将其删除，电脑资料《手工删除“MSN照片”病毒》(https://www.)。

二、重新启动计算机由于该病毒驻留内存，因此，清除掉启动项目后必须重新启动计算机才能够删除病毒文件。

三、删除病毒文件1、进入Windows，默认为C:\windows\，找到名为“photo album.zip”的文件并删除。

2、进入系统目录，默认为C:\windows\system32，找到名为“rdshost.dll”文件并删除(注意是DLL文件不是EXE)。

手工清除“恶邮差”（Supnot）蠕虫病毒1．使用资源管理器查看进程，注意winrpcsrv.exe、winrpc.exe、wingate.exe、syshelp.exe、rpcsrv.exe、iexplore.exe、winVNC.exe….均为病毒（或由病毒生成的后门软件），甚至其它的一切不常见的进程都有可能是，如果不能确定，找一台服务器上的进程来观察（服务器应该不会被感染）。

2．将病毒程序（后门）的进程结束掉，对于不能结束的，可以使用附件中的pskill.exe结束掉（命令格式“pskill 进程名”）。

3．打开“服务”，在服务列表中将没有“描述”服务进行筛选，查找是否有"Browser Telnet" "Event Thread" "Windows Management Extension"……的服务，依次删掉注册表中的[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BRWWTELK][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\prom0n.exe][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Management Extension][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Window Remote Service] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run(RunServices] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run(RunService s]……的相关的健值(还有WinVNC的进程，没有记住是什么健值)4．删掉[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dll_reg][HKEY_CLASSES_ROOT\Applications\winrpc.exe]的健值，5. 并修改[HKEY_CLASSES_ROOT\txtfile\shell\open\command]的右侧的默认健值为” %SystemRoot%\system32\NOTEPAD.EXE %1”,此时，.txt的文件无法正常打开，可以点击文本文件的右键选择其它方式，选择使用Notepad即可。

电脑杀毒的常用方法
工具/材料：
腾讯电脑管家
经常使用电脑上网的小伙伴们，肯定都遇到过电脑中毒的情况，最近我发现一个朋友在电脑中毒后，习惯性的“杀毒”方式居然是直接重装系统，因为他觉得杀毒比较麻烦，殊不知反复重装系统不仅无法彻底根除病毒，而且对硬盘会有较大的伤害，那么电脑中毒怎么办呢？今天就教大家集中常用的杀毒方法
【手动杀毒】
1，对于手动杀毒，虽然大家都听说过，不过都觉得那都是大神才会的绝招，其实不然，只要我们有相对应的方法，自己一样可以给电脑进行杀毒，例如咱们说一种叫做
【Taskmgr.exe病毒】
2，这个病毒其实想要查杀很简单，百度一下Taskmgr.exe病毒就能直接找到这个病毒的查杀方法，那我们照做后就能轻易的把病毒删除
3，我搜索出来的结果是找HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run 注册表项直接删除就可以了。

4，那么我就在运行中输入【regedit】,然后根据上面的描述，直接找到上面的这个【Taskmgr】键值删除掉，那么这个病毒的危机就解决了，很简单吧。

【第三方软件杀毒】
1，除了使用手动杀毒外，其实更简单就是用电脑杀毒软件去杀毒了，一直很不明白为什么有些人不使用，下面就直接说一个用免费杀毒软件杀毒的办法，用的是腾讯电脑管家，打开后有一个【病毒查杀】选项
2，选择好杀毒选项后，有5个引擎，其中小红伞杀毒引擎需要手动开启，其实你不开启的话也可能达到杀毒的效果，直接点全盘扫描就可以了。

【注意事项】
手动杀毒的确需要一些对电脑的理解，不过杀毒软件杀毒就是谁都可以用的哦。

手工清除电脑病毒的种种方法手工清除隐藏的病毒文件五招当你选择"显示隐藏文件"这一选项后，发现U盘有个文件闪出来一下就马上又消失了，而再打开文件夹选项时，发现仍就是"不显示隐藏文件"这一选项。

而且刚发现点击C、D等盘符图标时会另外打开一个窗口！病情描述1、无法显示隐藏文件；2、点击C、D等盘符图标时会另外打开一个窗口；3、用winrar查看时发现C、D等根目录下有autorun.inf和tel.xls.exe两个文件；4、任务管理器中的应用进程一栏里有个莫明其妙的kill；5、开机启动项中有莫明其妙的SocksA.exe.解决办法：以下整个过程中不要双击硬盘分区，需要打开时用鼠标右键-打开。

一、关闭病毒进程在任务管理器应用程序里面查找类似kill等你不认识的进程，右键-转到进程，找到类似SVOHOST.exe(也可能就是某个svchost.exe)的进程，右键-结束进程树。

二、显示出被隐藏的系统文件开始运行输入regedit找到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorer AdvancedFolderHiddenSHOWALL删除CheckedValue键值，单击右键新建-Dword值-命名为CheckedValue，然后修改它的键值为1，这样就可以选择"显示所有隐藏文件"和"显示系统文件"。

三、删除病毒在分区盘上单击鼠标右键-打开，看到每个盘跟目录下有autorun.inf和tel.xls.exe两个文件，将其删除，U盘同样。

四、删除病毒的自动运行项开始-运行-msconfig-启动-删除类似sacksa.exe、SocksA.exe之类项，或者打开注册表运行regedit HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run删除类似C：WINDOWSsystem32SVOHOST.exe的项。

教你如何手动查杀电脑中的木马首先要知道木马的种类，木马是属于病毒的一种，他起的作用其实就是类似于间谍的功能。

木马从诞生到现在已经有很多的种类，而且到现在的木马往往不会是单一的功能。

但想去查杀一个木马首先必须知道木马的种类。

1、破坏删除型这类的木马的功能就是删除计算机里的文件：如 DLL、EXE、INI类型的文件。

它就像一个定时炸弹，只要黑客一激活，那么他就开始肆意的破坏，而且一点不比病毒差。

2、远程控制型这类木马就是在你计算机内注入一个客户端程序，可以让服务端的人完全控制他人机器，监视屏幕动作，查看计算机磁盘内任何文件，可以进行任何操作，包括关机、重起。

这类木马是数量最多，危害最大的。

冰河、广外女生、灰鸽子都是国内知名的远程控制木马3、密码发送型前段时间在我们论坛官员飞火身上发生的盗号事件，我看来就是这类木马在捣鬼。

这类木马只要一开始运行，就开始自动搜索内存、Cache文件以及各类文件，一旦搜索到有用的密码，就自动将密码发送到预先指定好的QQ邮箱中去。

4、键盘记录型在传奇这一大网络游戏盛行的前两年，也是键盘记录木马盛行的几年。

不过这类木马是非常简单的，顾名思义他们只进行记录受害者的键盘敲击并且在LOG文件里查找密码。

只要你在键盘上输入什么一木马都能记录下来，像QQ阿拉大盗、传奇木马都是属于这一类型的。

5、DOS攻击型DOS木马不是用来破坏被注入的机子，而是借用这台被注入的机子去攻击另外的机子有点类似于传销，不停的给自己发展“下线”。

给网络造成堵塞。

6、代理型木马为了隐藏自己，就给被注入的机子种上代理木马，让他成为攻击的跳板去间接的攻击别人。

7、FTP型这类的木马和网页木马一样，打开着21端口，等待着别人来连接。

只要一连接上FTP服务器或者一打开网页，木马就自动注入机子运行。

这就是所谓的守株待兔。

8、程序杀手型前几种木马再如何隐蔽也会被杀毒软件给查杀，而这种吗就是关闭机子上运行的杀毒软件、防火墙，类似于工兵、探路先锋的角色。

新人上手指南电脑木马查杀大全一、手工方法：1、检查网络连接情况由于不少木马会主动侦听端口，或者会连接特定的IP和端口，所以我们可以在没有正常程序连接网络的情况下，通过检查网络连情情况来发现木马的存在。

具体的步骤是点击“开始”->“运行”->“cmd”，然后输入netstat -an 这个命令能看到所有和自己电脑建立连接的IP以及自己电脑侦听的端口，它包含四个部分――proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。

通过这个命令的详细信息，我们就可以完全监控电脑的网络连接情况。

2、查看目前运行的服务服务是很多木马用来保持自己在系统中永远能处于运行状态的方法之一。

我们可以通过点击“开始”->“运行”->“cmd”，然后输入“net start”来查看系统中究竟有什么服务在开启，如果发现了不是自己开放的服务，我们可以进入“服务”管理工具中的“服务”，找到相应的服务，停止并禁用它。

3、检查系统启动项由于注册表对于普通用户来说比较复杂，木马常常喜欢隐藏在这里。

检查注册表启动项的方法如下：点击“开始”->“运行”->“regedit”，然后检查HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion下所有以“run”开头的键值；HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值；HKEY-USERS.DefaultSoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值。

Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。

打开这个文件看看，在该文件的[boot]字段中，是不是有 shell=Explorer.exe file.exe 这样的内容，如有这样的内容，那这里的file.exe就是木马程序了！4、检查系统帐户恶意的攻击者喜在电脑中留有一个账户的方法来控制你的计算机。

手动杀毒：1、手动杀移动盘病毒：方法：先显示“受保护的操作系统文件”，然后插入U盘，按住键盘shift3秒,打开“我的电脑”，右击“可移动磁盘”，点“打开”，右击“autorun.inf”点“打开”，查命令中有“shell=*”，“load=*”或“open=*”，删除这些文件。

2、手动杀硬盘病毒：方法：用TSKLIST备份好进程列表→通过FC比较文件找出病毒→用NETSTA T判断进程→用NTSD终止进程→搜索找出病毒并删除→用REG命令修复注册表。

这样从发现病毒、删除病毒、修复注册表，完成整个手动查毒、杀毒过程。

<1>在系统正常时用Tasklist备份系统进程（操作如下）：开始/程序/附件/命令提示符。

在命令提示符下输入：Tasklist /fo:csv >D:\bf.csv<2>在手动杀毒时用Tasklist做目前系统进程（操作如下）：开始/程序/附件/命令提示符。

在命令提示符下输入：Tasklist /fo:csv >D:\xt.csv<3>用FC比较查异常进程FC D:\bfcsv D:\xt.csv<4>进行判断时，切记证据确凿——用Netstat查看开放端口对这样的可疑进程，如何判断它是否是病毒呢？根据大部分病毒(特别是木马)会通过端口进行对外连接来传播病毒，可以查看一下端口占有情况。

在命令提示符输入：Netstat -a -n -o参数含义如下：-a：显示所有与该主机建立连接的端口信息-o：显示打开端口进程的PID代码-n：以数字格式显示地址和端口信息<5>用NTSD终止进程：ntsd -c q –p PID<6>删除病毒文件：<7>删除注册表关联项。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentV ersion\Run/commandHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run/command。

网络常见木马的手工清除方法木马的出现对我们的系统造成了很大的危害，但是由于木马通常植入得非常隐蔽，很难完全删除，因此，这里我们介绍一些常见木马的清除方法。

1. 网络公牛（Netbull）网络公牛是国产木马，默认连接端口23444。

服务端程序newserver.exe运行后，会自动脱壳成checkdll.exe，位于C:\WINDOWS\SYSTEM下，下次开机checkdll.exe将自动运行，因此很隐蔽、危害很大。

同时，服务端运行后会自动捆绑以下文件:win2000下：notepad.exe；regedit.exe，reged32.exe；drwtsn32.exe；winmine.exe。

服务端运行后还会捆绑在开机时自动运行的第三方软件(如:realplay.exe、QQ、ICQ等)上，在注册表中网络公牛也悄悄地扎下了根。

网络公牛采用的是文件捆绑功能，和上面所列出的文件捆绑在一块，要清除非常困难。

这样做也有个缺点：容易暴露自己！只要是稍微有经验的用户，就会发现文件长度发生了变化，从而怀疑自己中了木马。

清除方法：1.删除网络公牛的自启动程序C:\WINDOWS\SYSTEM\CheckDll.exe。

2.把网络公牛在注册表中所建立的键值全部删除：3.检查上面列出的文件，如果发现文件长度发生变化（大约增加了40K左右，可以通过与其它机子上的正常文件比较而知），就删除它们！然后点击“开始→附件→系统工具→系统信息→工具→系统文件检查器”，在弹出的对话框中选中“从安装软盘提取一个文件(E)”，在框中填入要提取的文件(前面你删除的文件)，点“确定”按钮，然后按屏幕提示将这些文件恢复即可。

如果是开机时自动运行的第三方软件如:realplay.exe、QQ、ICQ等被捆绑上了，那就得把这些文件删除，再重新安装。

2. Netspy（网络精灵）Netspy又名网络精灵，是国产木马，最新版本为3.0，默认连接端口为7306。

（木马）的手动杀除方法木马清除 1、查获木马机器中木马那是经常的事了，可怎样才能进行清除哪？在这里教大家，几种简单的木马清除方法。

那么？怎样才能知道自己的机器，中了木马哪？如果出现以下几种现象： (1)、电脑有时死机，或莫名其妙的重启； (2)、在没有执行任何操作时，计算机却拼命的读写硬盘，或者某个程序占用内存明显超过其他程序，或者某些程序占用网络，网速极具下降。

(3)、系统莫名其妙的运行光驱进行搜索； (4)、学会看“任务管理器”很多的木马都逃脱不过“任务管理器”或借助一些其他的软件查看隐藏的进程。

发现陌生的程序名称，或有多个名字相同的程序在运行，而且可能会随时间的增加而增多。

注意：在我们看到陌生的进程时，可以到baidu上搜一下也许有自己想要的，但是进程名称是可以伪装的，这可要注意，不要被木马迷惑。

上面所说的几点，就是最初级的木马查获方法，对于技术一般的木马程序已经是绰绰有余了。

2、清除木马一般中木马程序最简单的办法就是用杀毒软件清除，如金山毒霸卡巴斯基等。

如果对系统熟悉的也可以手动清除。

在这里给大家介绍一些通用的木马清除方法，这些方法都很简单实用，学会这些方法将可以有效地清除一些常见的木马所带来的威胁。

（1）、清除木马的启动项原理：这是绝大多数木马都会设计到的功能，此类，木马会随系统启动而启动，从而使用户在不知不觉中将系统打开一扇“门”但由于这类木马的踪迹较容易被发现，所以其只算为初级木马吧。

方法在运行中输入：msconfig 命令，在点击“启动”选项中查看有无不熟悉的启动项，并将其清除，在将其文件删除就可以了。

（2）、清除system.ini 文件中的木马原理：system.ini 是系统启动时要加载的系统服务程序，木马将其隐藏于此，可以看出木马其居心之险恶！此类木马有于发现较困难，所以除非是很了解的情况下进行手工删除或禁用，否则建议使用专杀工具进行清除。

在系统配置实用程序中看到 system.ini 在这里将来路不名的名称禁用和将文件删除就可以了。